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PROCEDE DE SIGNATURE NUMERIQUE ET D ' AUTHENTIFICATION 
DE MESSAGES UTILISANT UN LOGARITHME DISCRET 

DESCRIPTION 

Domaine technique 

La presente invention a pour objet un procede de 
signature numerique et d r authentif ication de messages 
utiiisant un logarithme discret. Elle trouve une 
application dans la cryptographie dite a cle publique. 

L f invention concerne plus particulierement le 
domaine des precedes dit "sans transfert de 
connaissance" (ou "zero-knowledge") . Dans de tels 
procedes, 1 ' authentif ication se deroule suivant un 
protocole qui, de fagon prouvee, et sous des hypotheses 
reconnues comme parf aitement raisonnables par la 
communaute scientif ique, ne revele rien de la cle 
secrete de 1'entite dont la signature est a 
authentif ier . 

Etat de la technique anterieure 

Dans certaines techniques anterieures de signature 
numerique de messages, 1'entite devant emettre un 
message signe est detentrice d f une cle dont un element, 
appele module, est public et un autre element est 
secret. Pour signer un message, cette entite ajoute au 
message une redondance en utiiisant sa cle secrete. Le 
message emis est done une fonction du message et de la 
cle secrete . 

Pour verifier la signature, le destinataire du 
message utilise la partie publique de la cle et 
effectue un calcul qui doit redonner le message initial 
avec sa redondance. En retrouvant la redondance, le 
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destinataire conclut que le message qu'il a regu n'a pu 
etre transmis que par l'entite qui pretend l f avoir 
envoye, puisqu'elle seule etait capable de traiter ie 
message de cette maniere. 

5 

Dans de telles procedures, la securite est fondee 
sur 1' extreme difficulty qu'il y a a inverser certaines 
fonctions. Dans le cas de I 1 invention qui va etre 
decrite, la securite du procede de signature est fondee 
10 sur 1 ? extreme difficulty du probleme du logarithme 
discret. Ce probleme consiste, etant donne la relation 
mathematique : y=g x modulo n (qui signifie : y est le 
reste de la division de g x par n) , a retrouver x 
lorsque l T on connait n, g et y. Ce probleme est 
15 impossible a resoudre, en l'etat actuel des 
connaissances/ des que la taille n atteint ou depasse' 
500 bits et que celle de x atteint ou depasse 128 bits. 

Dans les systemes mettant en oeuvre de tels - 
procedes, il existe en general une autorite, en 
20 laquelle un ensemble d f utilisateurs a confiance, qui 
determine un nombre n de grande taille (au moins 500 
bits), constituant le module. L f invention s'applique 
des lors que le nombre n est choisi de telle sorte que 
le probleme du logarithme discret soit impossible a 
25 resoudre en pratique. Pour cela, il existe 
essentiellement deux options : 

- ou le module n est calcule de telle sorte qu'il 
soit impossible, en pratique, (c 9 est-a-dire 
compte tenu des algorithmes de factorisation 
30 existants), de retrouver les facteurs premiers 

dont il est le produit ; dans une utilisation 
classique de cette option, n est le produit de 
deux grands facteurs premiers distincts ; 
ou ce module est un nombre premier verifiant 
35 certaines proprietes que l f on peut trouver dans 
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la iitterature specialisee ; clans une utilisation 
classique de cette option, n-1 est le double d f un 
nombre premier. 
L'autorite choisit ensuite un entier g, appele 
5 base, tel que 1' ensemble engendre par g, c'est-a-dire 
1' ensemble constitue des nombres g x modulo n, lorsque x 
parcourt i'intervalle [0, n-1], soit un sous-ensemble de 
taille maximale <ou, en tout cas, de taille 
suf f isamment grande (au moins 2 128 )), de cet 
10 intervalle. A titre d'exemple, la taille maximale est 
n-1 lorsque n est premier, proche de n/2 lorsque n est 
le produit de deux facteurs premiers distincts. 

Les nombres n et g sont publies par l'autorite et 
doivent etre connus de tous les utilisateurs qui y sont 
15 rattaches. Dans une variante, ces parametres sont 
choisis individuellement par chaque utilisateur et font 
done partie integrante de sa cle publique. 

Dans un tel contexte, on connait un procede de 

20 signature de messages qui comprend essentiellement les 
operations suivantes. Dans ce procede, n est un nombre 
premier et q est un nombre premier divisant n-1. La cle 
privee x est choisie au hasard entre 1 et q et la cle 
publique y est prise egale a y=g" x modulo n. L f entite 

25 qui desire emettre et signer un message M choisit au 
hasard un entier positif k et calcule r=g k modulo n. 
Cette entite calcule ensuite une fonction de hachage 
(ou de condensation) c=h(r, M) , la fonction de hachage 
etant connue de tous. L f entite calcule ensuite une 

30 somme s=k+cx modulo n et elle transmet cette somme a 
une entite authentif icatrice ainsi que la fonction c. 
Cette entite calcule, a l'aide de la cle publique et de 
la base g, le produit modulo n de g s .y c soit r et 
verifie que la fonction de hachage h(r, M) redonne bien 

35 la fonction de hachage c qu'elle a regue. 
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Un tel procede est decrit dans 1' article de CP. 
SCHNORR intitule "Efficient Signature Generation by 
Smard Cards", publie dans J. Cryptology (1991) 4 : 161- 
5 174, pp. 161-174. 

Le brevet americain US-A-4 , 995, 082 delivre a CP. 
SCHNCRR decrit egalement un procede analogue avec des 
algorithmes encore plus complexes ou la somme s n'est 
plus seulement la somme de deux termes modulo q mais 
10 une somme double, toujours modulo un certain entier, en 
1' occurrence p-1. 

Si ce procede donne satisfaction a certains 
egards, il presente neanmoins 1 ' inconvenient de 

15 necessiter des operations qui sont des multiplications 
moduiaires. Ces operations apparaissent dans le calcul 
de g^ modulo p et dans la somme k+cx modulo q (ou les 
doubles sommes modulo p-1). 

Or, cette operation de multiplication modulaire 

20 est complexe et necessite des moyens importants. Dans 
des dispositifs simples n'utilisant que des 
microprocesseurs standards, cette operation n'est guere 
possible. De meme, dans des ordinateurs ou les 
fonctions cryptographiques sont realisees a l'aide d'un 

25 logiciel, le calcul d f une multiplication modulaire 
n'est jamais tres performant. 

La reduction du nombre de tels calculs est done 
souhaitable. C'est precisement le but de la presente 
invention . 

30 

Expose de l f invention 

A cette fin, la presente invention prevoit un 
procede de signature de messages, du genre de celui qui 
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vient d'etre decrit, mais qui reduit, voire supprime, 
les multiplications modulaires. 

La reduction est obtenue en faisant calculer a 
l 1 entite emettrice une somme simple, soit s=k+cx, de 
5 1' entier k choisit au hasard et du produit de la 
fonction de hachage c et de la cle secrete x, et non 
plus une somme modulo un entier, comme dans l'art 
anterieur. Cette multiplication modulaire est done 
supprimee. 

10 

Dans un mode de mise en oeuvre encore plus simple, 
les nombres r de la forme g k modulo n, dont le calcul 
met en oeuvre des multiplications modulaires, sont 
precalcules et memorises dans I 1 entite signataire, ce 
15 qui dispense celle-ci d' avoir a les calculer. II ne 
reste plus alors aucune multiplication modulaire a 
effectuer dans 1' entite emettrice. 

De fagon precise, la presente invention a pour 
20 objet un procede de signature numerique de message, 
dans lequel une autorite choisit un nombre n, appele 
module, un entier g appele base, trois parametres t, u, 
v appeles parametres de securite, cette autorite 
publiant le module n, la base g et les trois parametres 
25 de securite t, u, v aupres de diverses entites 
utilisatrices ; ce procede comprenant, pour une entite 
A desirant emettre un message M et le signer 
numeriquement, et pour une entite B desirant verifier 
la signature du message M, les operations suivantes : 
30 a) I'entite A choisit au hasard une cle secrete x 

egale a un entier positif ou nul strictement 
inferieur au parametre t et determine sa cle 
publique en elevant g a une certaine puissance de 
x modulo n et cette cle publique et certifiee par 
35 l'autorite, 
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b) i'entite A choisit ensuite, au hasard, un entier 
positif ou nul k stricteraent inferieur au produit 
des trois parametres t, u, v et I'entite A garde 
rentier k secret, 
5 c) i'entite A calcule ensuite, a l'aide de g et de 

k, un entier r tel que : 

r = g^ modulo n, 

d) I'entite A calcule ensuite, par une fonction de 
hachage connue de toutes les entites 

10 utilisatrices, la fonction de hachage de 1' entier 

r precedemment obtenu et du message a signer M, 
soit c=h(r, M) , c etant un entier compris entre 0 
et v-i, 

e) I'entite A calcule, a partir de sa cle secrete x, 
15 de 1* entier k et de la fonction de hachage c, un 

entier s defini par : 

s = k + cx 

f) I'entite A transmet le message M, la fonction de 
hachage c et 1' entier s precedemment obtenu a 

20 I'entite B, 

g) I'entite B verifie le certificat de la cle 
publique de A et calcule, a partir du module n, 
de la cle publique y de I'entite A et de la 
fonction de hachage c regue de A, le produit 

2 5 modulo n, de y c par g s , 

soit r = y c g s modulo n 

h) I'entite B verifie alors que la fonction de 
hachage du produit r qu'elle a obtenu et du 
message M qu'elle a regu, soit h(r, M) , redonne 

30 bien la fonction de hachage c regue de A, auquel 

cas 1 ' authentif ication de la signature du message 
emis par A est reussie. 
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Dans une variante, r est remplace par un condense 
de r, par exemple h(r) ou les 128 bits de poids faible 
(ou poids fort) de r. 

De preference, I'entite A possede un ensemble 
5 predetermine de valeurs kl, . lei, . km et un 

ensemble correspondant d'entiers rl, . ri, . rm 
lies aux ki par ri=g ki modulo n. Dans ce cas, I'entite 
A, pour determiner ledit entier r, choisit un nombre ki 
dans 1' ensemble des ki et lit l f entier correspondant 

10 ri=g ki modulo n. 

De preference encore, l'autorite et I'entite A 
possedent deux generateurs pseudo-aleatoires identiques 
aptes a delivrer tous deux la meme suite pseudo- 
aleatoire d'entiers kl, ki, . . . , km a partir d f une 

15 valeur d' initialisation kO applique au generateur. 
Cette valeur d f initialisation kO est echangee entre 
I'entite A et l'autorite de maniere securisee. 
L'autorite calcule alors la sequence d'entiers ri=g ki 
modulo n correspondant a la sequence kl, ki, 

20 km liee a 1 ' initialisation kO, transmet la sequence des 
entiers rl, ri, rm a I'entite A qui les 

memorise. L'entite A devant emettre et signer des 
messages Ml, Mi, Mm, met en route son 

generateur pseudo-aleatoire a partir de la meme valeur 

25 d' initialisation kO, et, pour chaque message Mi a 
signer, lit la valeur ki delivree par son generateur 
pseudo-aleatoire, lit 1' entier ri correspondant et 
signe le message Mi a 1 ' aide de 1' entier ri. 

La presente invention a egalement pour objet un 

30 procede d f authentif ication de message qui peut etre 
considere comme une variante du procede de signature. 
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Expose detaille de modes de realisation 



Le procede de 1 1 invention est precede d'une phase 
de pretraitement, dans iaquelle l'autorite choisit un 
5 module n de grande taille, c ' est-a-dire d'au moins 500 
bits et une base g. L'autorite determine egalement la 
valeur des trois parametres de securite, t, u et v. II 
est recommande que la longueur de t soit d'au moins 128 
bits, celle de u d'au moins 64 bits et celle de v d'au 

10 moins 128 bits. 

L'entite utilisatrice, que l'on designera par 
A, choisit au hasard une cle secrete x, qui est un 
entier positif ou nul strictement inferieur au 
parametre t. L'entite A calcule sa cle publique en 

15 elevant g a une certaine puissance de x modulo n, par 
exemple y=g" x modulo n ou y=g x modulo n ou par d'autres 
equations proches de celle-ci. L' inverse se calcule a 
l'aide de l'algorithme d ' EUCLIDE de calcul du plus 
grand commun diviseur. 

20 La cle publique y (ou n, g et y) est ensuite 

certifiee par l'autorite, selon un mecanisme de 
certification quelconque. Si ce mecanisme repose sur un 
procede de signature numerique tel que celui qui va 
etre decrit, l'autorite calcule un certificat, c'est-a- 

25 dire une signature numerique d'un ensemble de 
parametres contenant au minimum la cle publique y (ou 
n, g et y) et une chaine I qui rassemble des 
caracteristiques discriminantes de 1 ' utilisateur 
associe. Par exemple, I peut etre la concatenation, 

30 selon un format a definir avec precision, de l'identite 
de 1 1 utilisateur, de son adresse, de son age, etc. 
ainsi que, par exemple, de ses droits a effectuer telle 
ou telle action. 

Tous les utilisateurs devront connaitre la cle 

35 publique de l'autorite, afin de pouvoir verifier les 
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certificats qu'elle emet, et connaitre ainsi avec 
certitude la cle publique correspondant a 1 ' utilisateur 
dont le champ d' identification est I. Ce type de 
procedure fait partie de l'etat de ia technique en 
5 matiere de cryptographie . 

Cette phase preliminaire etant achevee, le procede 
de signature de 1 ? invention comprend certaines 
operations qui vont etre decrites maintenant La cle 
10 publique de A est supposee connue de B, ce qui peut 
resulter d'un echange prealable non explicite ici, qui 
pourrait d'ailleurs etre integre dans le protocole de 
signature . 

1) L'entite A choisit au hasard un entier k 
15 positif ou nul strictement inferieur au produit 

t.u.v=2 400 et garde secret cet entier k. Elle calcule 
ensuite 1' entier r=g k modulo n. 

2) L'entite A calcule ensuite c=h(r, M) ou h est 
une fonction de hachage. 

20 3) L'entite A calcule alors rentier s=k+cs. 

4) L'entite A envoie (M, c, s) a l'entite B. 

5) L'entite B calcule le produit, modulo n, de y c 
par g s : 

r = y c g s modulo n 

25 et verifie que 

h(r, M) = c 

Si la verification est faite, 1 ' authentif ication 
de la signature M est reussie. 

30 On remarquera que la signature du message a, pour 

les valeurs de parametres prises en exemple, une 
longueur de 560 bits. Avec des valeurs un peu 
inferieures, mais ne compromettant pas la securite du 
procede, on pourrait obtenir une longueur d 1 environ 450 

35 bits. 
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Dans un mode de realisation particulier qui va 
maintenant etre decrit, I'entite A n'aura qu'une seule 
operation a effectuer : celle de l'etape 3. Aucune 
operation modulaire ne sera done a raettre en oeuvre . 
5 A cette fin, I'entite A peut etre equipee d'une 

table (ou memoire) ou les entiers r=g k sont memorises a 
I'adresse k. II suffit alors a l'entite A de venir lire 
le- nombre r correspondant au nombre k choisi. 

En contrepartie, ce aispositif ne peut effectuer 
10 qu'un nombre limite de signatures. Cependant, iorsque 
ce nombre est atteint, on peut, par une procedure de 
rechargement (eventuellement a distance) , mettre a 
nouveau a la disposition de A un nouveau jeu d' entiers 
r . 

15 

Dans un mode particulier de realisation, les 
nombres k utilises pour les signatures successives sont 
engendres par un generateur pseudo-aleatoire partage 
par 1 T utilisateur et l'autorite. La valeur initiale de 

20 ce generateur doit etre transmise par l'autorite a 
1 1 utilisateur (ou le contraire) de fagon securisee. 
Cette securite peut etre obtenue en effectuant cette 
transmission localement, ou en effectuant cette 
transmission a distance a l'aide d'un procede 

25 cryptographique (par exemple un procede de chiffrement) 
independant du procede actuellement decrit. 

Soit kO cette valeur initiale. Soient kl, ki, 
km les valeurs engendrees par le generateur 
pseudo-aleatoire, l'indice i etant l'indice courant 

30 allant de 1 a m. L'autorite calcule les valeurs rl, 
ri, rm correspondantes (par la formule de 

l'etape 1) et les transmet a 1 1 utilisateur (sans qu'il 
y ait besoin d'en assurer la conf identialite) . 
L ' utilisateur les memorise, Avantageusement, l'autorite 

35 ne transmettra qu'un condense de chaque valeur rl, 
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ri, . rm (par exemple les 160 derniers bits)/ ec le 
calcui de I'etape 2 ou 5 ne portera que sur ces valeurs 
tronquees . 

L'etape 1 du procede de signature est alors 
5 modifiee comme suit : 

1) L'entite A met en oeuvre son generateur pseudo- 
aleatoire pour engendrer k, une valeur stricteraent 
inferieure au produit tuv=2 400 , et va chercher en 
memoire la valeur de r (ou la valeur tronquee de r) 
10 correspondante que l'autorite lui avait prealablement 
transmise . 

Lorsque l'entite A a produit ses m signatures, 
elle redemande alors a l'autorite une nouvelle 
initialisation k ? 0 (transrtiis de fagon sure) et une 
15 nouvelle sequence r'l, . r'i, . r'm. L'entite A 

peut signer a nouveau m messages a l'aide des r'l,..., 
r'i, . . • / r ? m. 

A titre d' exemple, si chaque nombre ri fait 160 
bits, alors, une memoire de 2 kilooctets permet de 
20 produire environ 100 signatures • 

La production de telles signatures est quasiment 
instantanee, meme avec un dispositif muni de ressources 
limitees comme une carte a microprocesseur standard. 

25 Deux variantes permettent de reduire la taille de 

la signature. 

Dans la premiere, apres avoir calcule s, l'entite 
A verifie que c ( t-1 ) <s<tuv-l . Si ce n'est pas le cas, A 
(et B dans le cas de 1 ' authentif ication de message) 

30 recommence le processus de signature (ou 
d f authentif ication de message) a I'etape b) , c'est-a- 
dire : l'entite A choisit au hasard un entier k etc.... 
On est ainsi certain que s ne revele aucune information 
sur le secret x. Ceci permet de reduire u autant qu'on 

35 le desire, mais au prix de reprises eventuelles. 
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Dans la seconde variante, on remplace dans 
I'equation c=h(r,M), M par f (M) ou f est egalement une 
fonction de hachage. Dans le cas ou les etapes b) a e) 
sont executees par un dispositif securise, les qualites 
5 requises pour h sont moindres : il suffit que h soit a 
sens unique. Ceci permet de diviser environ par deux la 
longueur de v. 

Dans la description qui precede, l 1 accent a ete 

10 mis sur la signature de messages rnais 1' invention 
s 1 applique egalement a 1 1 authentif ication de messages 
qui en est une variante. La difference entre 
1 ' authentif ication de message et la signature numerique 
de message est que la premiere resulte d'un procede 

15 interactif et la seconde d f un procede non interactif. 
Une consequence est que les donnees servant "a 
authentifier un message venant d'une entite A aupres 
d'une entite B ne peuvent pas etre utilisees 
ulterieurement pour authentifier le meme message aupres 

20 d'une troisieme entite C. Au contraire, une signature 
numerique peut etre verifiee par n'importe quelle 
entite a n'importe quel moment . 

Dans la variante d f authentif ication, les 
operations sont les suivantes : 

25 1) L f entite A choisit au hasard un entier positif 

ou nul k strictement inferieur au produit tuv=22 70 et 
elle garde k secret. Elle calcule ensuite 1' entier : 

r = g^ (modulo n) 

puis 

30 r' = h(r,M) 

2) L 1 entite A envoie r' a 1* entite B. 

3) L 1 entite B choisit au hasard un entier positif 
ou nul c strictement inferieur & v = 2 30 (c ' est-a-dire 
inferieur a v-1) . 

35 4) L'entite B envoie c a l f entite A. 
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5) L'entite A calcule l f entier : 

k = k + ex. 

6) L'entite A envoie (M,s) a l'entite B. 

7) L'entite B calcule le produit modulo n de y c 
5 par g s : 

yCgS = r (modulo n) 

et verifie que 

h(r,M) = r ' . 

Si la verification est satisfaite, 

10 1 ' authentif ication de l'entite A et du message M est 
reussie. 

Les dispositifs et moyens permettant de mettre en 
oeuvre le procede de signature qui vient d'etre decrit 
15 sont classiques. On peut simplement souligner que les 
entites doivent : 

- etre rattachees a une autorite de tutelle, . qui 

calcule les certificats, produit les nombres n et 
g (a moins que chaque utilisateur ne les produise 
20 lui-meme) et fixe les valeurs des parametres de 

securite ; 

- etre capables de detenir les cles secretes (pour 

l'entite a authentif ier) , ce qui suppose un moyen 
de stockage securise, de fagon a ce qu'une 
25 lecture non autorisee soit impossible en 

pratique ; 

- etre capables de detenir des cles publiques, ce 

qui suppose un moyen de stockage securise, de 
fagon a ce qu'une modification non autorisee soit 

30 impossible en pratique ; 

etre capables, dans la variante generale, 
d'effectuer des multiplications modulo n, ce qui 
suppose (dans le cas d'une carte a 
microprocesseur) , 1' existence d'une unite de 

35 calcul specialisee ; etre capables, dans le mode 
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de realisation particulier, d'effectuer des 
operations ari thmetiques usuelles, ce qui evite 
(dans le cas d'une carte a microprocesseur) / 
1' existence d'une unite de caicui specialisee ; 
etre capables de mettre en oeuvre un generateur 
aleatoire et/ou un generateur pseudo-aleatoire ; 
etre capables de dialoguer, ce qui suppose 
1' existence d'une interface de communication. 

Tous ces moyens sont connus de l'homme du metier. 
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REVINDICATIONS 

1. Procede de signature numerique de message dans 
lequel une autorite choisit un nombre n, appele module, 
5 un entier g, appele base, trois parametres t, u, v, 
appeles parametres de securite, cette autorite publiant 
le module n, la base g et les trois parametres de 
securite t, u, v aupres de diverses entites 
utilisatrices, ce procede comprenant, pour une entite A 
10 desirant emettre" un message M et le signer 
numeriquement , et pour une entite B desirant verifier 
la signature du message M, les operations suivantes : 

a) 1' entite A choisit au. hasard .une cle secrete x 
egale a un entier positif ou nul strictement 

15 inferieur au parametre t et determine sa cle 

publique en elevant g a une certaine puissance de 
x modulo n et cette cle publique est certifiee 
par 1' autorite, 

b) 1' entite A choisit ensuite, au hasard, un entier 
20 positif ou nul k, strictement inferieur au 

produit des trois parametres t, u, v et 1' entite 
A garde l f entier k secret, 

c) 1' entite A calcule ensuite, a l'aide de g et k, 
un entier r tel que : 

2 5 r = g k modulo n, 

d) 1' entite A calcule ensuite, par une fonction de 
hachage connue de toutes les entites 
utilisatrices, la fonction de hachage de 1' entier 
r precedemment obtenu et du message k signer M, 

30 soit c=h(r, M) , c etant un entier compris entre 0 

et v-1, 

e) l f entite A calcule, a partir de sa cle secrete x, 
de l 1 entier k et de la fonction de hachage c, un 
entier s defini par : 

35 s = k + cx 
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f) l'entite A transmet a l'entite 3 le message M, la 
fonction de hachage c et l'entier s precedemment 
obtenu, 

g) l'entite B verifie le certificat de la cle 
publique de A et calcule, a partir du module n, 
de la cle publique y de l'entite A et de la 
fonction de hachage c regue de A, le produit, 
modulo n, de y c par g s , soit : 

r = y c g s modulo n 

h) l'entite B verifie alors que la fonction de 
hachage du produit r et du message M regu, soit 
h(r, M) , redonne bien la fonction de hachage c 
qu'elle a regue de A, auquel cas 
1 ' authentif ication de la signature du message 
emis par A est reussie. 

2. Procede de signature numerique de messages 
selon la revendication 1, caracterise par le fait que 
la cle publique y est egale a g" x modulo n, 

3. Procede de signature numerique de messages 
selon la revendication 1, dans lequel l'entite A 
possede un ensemble predetermine de valeurs kl, .../ 
ki, . km et un ensemble correspondant d'entiers rl, 

25 ri, .-./ rm lies aux ki par ri^g^ 1 modulo n, 

l'entite A, pour determiner ledit entier r, choisissant 
un nombre ki dans l f ensemble et lisant 1' entier ri 
correspondant . 

30 4. Procede selon la revendication 3, caracterise 

par le fait que : 

- l'autorite et l'entite A possedent deux generateurs 
pseudo-aleatoires identiques aptes a delivrer deux 
suites pseudo-aleatoires d'entiers kl, ki, km 

35 identiques a partir d'une valeur d* initialisation kO du 
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generateur, cette valeur d 1 initialisation kO etant 
echangee entre l'entite A et I'autorite de maniere 
securisee, 

I'autorite caicule la sequence d'entiers ri=g ki 
5 modulo n correspondant a la sequence kl, . ki, . .., 

km liee a 1 ' initialisation kO, transmet la sequence des 
entiers rl, . .., ri, . rm a l'entite A qui les 

memorise/ 

- l'entite A devant emettre et signer des messages Ml, 
10 Mi, Mm met en route son generateur pseudo- 

aleatoire a l'aide de la valeur d' initialisation kO, et 
pour chaque message Mi a signer lit la valeur ki 
delivree par le generateur pseudo-aleatoire, lit 
1'entier ri correspondant et signe le message Mi a 
15 l'aide de rentier ri. 

5. Procede selon la revendication 4, dans lequel, 
apres avoir signe m messages Ml, Ki, Mm et 
epuise ses m entiers rl, .../ ri, rm, l'entite A 

20 et I'autorite echangent de maniere securisee une 
nouvelle valeur d f initialisation k'O pour les deux 
generateurs pseudo-aleatoires, I'autorite transmet a 
l'entite A une nouvelle sequence d'entiers r'l, 
r'i, r'm, que l'entite A utilise pour une nouvelle 

25 serie de signature de m messages. 

6. Procede selon la revendication 1, caracterise 
par le fait que l'entite A verifie que c ( t-1 ) <s<tuv-l 
et que si ce n'est pas le cas, l'entite A recommence le 

30 processus de signature. 

7. Procede selon la revendication 1, caracterise 
par le fait que dans le calcul de la fonction hachage 
c=h(r,M), le message M est remplace par une fonction 

35 f (M) oil f est egalement une fonction de hachage. 
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8. Procede d f authentif ication de message selon la 
revendication 1, caracterise par le fait qu'il comprend 
d'abord les operations a, b, c ; puis l'entite A 
5 calcule r f = h(r,M) ; l'entite B choisit ensuite au 
hasard un entier positif ou nul c inferieur a v-1 et 
I'envoie a l'entite A ; l'entite A calcule ensuite 
l f entier s = k+cx et envoie a l'entite B le message M 
et 1* entier s ; l'entite B calcule le produit modulo n 
10 de y c par g s ^ soit r, et verifie que h(r,M) = r 1 . 
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